KB5042429: Neues Wiederherstellungstool zur Unterstützung des CrowdStrike-Problems, das sich auf Windows-Geräte auswirkt

Voraussetzungen zum Erstellen des Startmediums

1. Ein Windows 64-Bit-Client mit mindestens 8 GB freiem Speicherplatz, auf dem Sie das Tool ausführen können, um das startbare USB-Laufwerk zu erstellen.

2. Administratorrechte auf dem Windows-Client von Voraussetzung 1.

3. Ein USB-Laufwerk mit einer Mindestgröße von 1 GB und nicht größer als 32 GB. Das Tool löscht alle vorhandenen Daten auf diesem Laufwerk und formatiert sie automatisch in FAT32.

Anweisungen zum Erstellen des Startmediums

Führen Sie zum Erstellen von Wiederherstellungsmedien aus dem 64-Bit-Windows-Client unter Voraussetzung 1 die folgenden Schritte aus:

1. Laden Sie das signierte Microsoft Recovery Tool aus dem Microsoft Download Center herunter.

2. Extrahieren Sie das PowerShell-Skript aus der heruntergeladenen Datei.

3. Öffnen Sie Windows PowerShell als Administrator, und führen Sie das folgende Skript aus:MsftRecoveryToolForCS.ps1

4. Das Tool lädt das Windows Assessment and Deployment Kit (Windows ADK) herunter und installiert es. Dieser Vorgang kann einige Minuten dauern.

5. Wählen Sie eine der beiden Optionen für die Wiederherstellung betroffener Geräte aus: Windows PE oder abgesicherter Modus.

6. Wählen Sie optional ein Verzeichnis aus, das Treiberdateien enthält, die in das Wiederherstellungsimage importiert werden sollen. Es wird empfohlen, N auszuwählen, um diesen Schritt zu überspringen. ​​​​​​​

   1. Das Tool importiert alle SYS- und INI-Dateien rekursiv unter dem angegebenen Verzeichnis.

   2. Bestimmte Geräte, z. B. Surface-Geräte, benötigen möglicherweise zusätzliche Treiber für die Tastatureingabe.

7. Wählen Sie die Option aus, um entweder eine ISO-Datei oder ein USB-Laufwerk zu generieren.

8. Wenn Sie die USB-Option auswählen:

   1. Schließen Sie das USB-Laufwerk an, wenn Sie dazu aufgefordert werden, und geben Sie den Laufwerkbuchstaben an.

   2. Sobald das Tool die Erstellung des USB-Laufwerks abgeschlossen hat, entfernen Sie es vom Windows-Client.

Anweisungen zum Wiederherstellen virtueller Hyper-V-Computer

1. Fügen Sie auf einer betroffenen VM ein DVD-Laufwerk unter Den Hyper-V-Einstellungen > SCSI-Controller hinzu.
   
   

2. Navigieren Sie zur Wiederherstellungs-ISO, und fügen Sie sie als Imagedatei unter Hyper-V-Einstellungen > SCSI-Controller > DVD-Laufwerk hinzu.
   
   
   ​​​​​​​

3. Notieren Sie sich die aktuelle Startreihenfolge , damit Sie sie später manuell wiederherstellen können. Die folgende Abbildung ist ein Beispiel für eine Startreihenfolge, die sich von der Konfiguration Ihres virtuellen Computers unterscheiden kann.
   
   

4. Ändern Sie die Startreihenfolge , um das DVD-Laufwerk als ersten Starteintrag nach oben zu verschieben.
   
   

5. Starten Sie den virtuellen Computer, und drücken Sie eine beliebige Taste, um den Start mit dem ISO-Image fortzusetzen.

6. Je nachdem, wie Sie das Wiederherstellungsmedium erstellt haben, führen Sie die zusätzlichen Schritte aus, um die Wiederherstellungsoptionen für Windows PE oder den abgesicherten Modus zu verwenden.

7. Legen Sie die Startreihenfolge wieder auf die ursprünglichen Starteinstellungen aus den Hyper-V-Einstellungen des virtuellen Computers fest.

8. Starten Sie den virtuellen Computer normal neu.

Voraussetzungen für die PXE-Wiederherstellung

1. Ein 64-Bit-Windows-Gerät, das das Startimage hostet. Dieses Gerät wird als "PXE-Server" bezeichnet.

   1. Der PXE-Server kann auf jedem unterstützten 64-Bit-Windows-Clientbetriebssystem ausgeführt werden.

   2. Der PXE-Server sollte über Internetzugriff verfügen, um das Microsoft PXE-Tool aus dem Microsoft Download Center herunterzuladen. Sie können es auch von einem anderen System in Ihrem Netzwerk auf den PXE-Server kopieren.

   3. Auf dem PXE-Server sollten eingehende Firewallregeln für die UDP-Ports 67, 68, 69, 547 und 4011 erstellt werden. Das heruntergeladene PXE-Tool (MSFTPXEToolForCS.exe) aktualisiert die Windows-Firewalleinstellungen auf dem PXE-Server. Wenn der PXE-Server eine Nicht-Microsoft-Firewalllösung verwendet, erstellen Sie Regeln gemäß ihren Empfehlungen.

      Hinweis: Dieses Skript bereinigt die Firewallregeln nicht. Sie sollten diese Firewallregeln nach Abschluss der Wartung entfernen. Um diese Regeln aus der Windows-Firewall zu entfernen, öffnen Sie Windows PowerShell als Administrator, und führen Sie den folgenden Befehl aus: MSFTPXEInitToolForCS.ps1 clean

   4. Administratorrechte zum Ausführen des PXE-Tools.

   5. Der PXE-Server erfordert Microsoft Visual C++ Redistributable. Laden Sie die neueste Version herunter, und installieren Sie sie.

2. Die betroffenen Windows-Geräte sollten sich im selben Subnetz wie der PXE-Server befinden. Sie sollten festverkabelt sein, anstatt ein Wi-Fi Netzwerk zu verwenden.

Konfigurieren des PXE-Servers

1. Laden Sie das Microsoft PXE-Tool aus dem Microsoft Download Center herunter. Extrahieren Sie den Inhalt des ZIP-Archivs in ein beliebiges Verzeichnis. Sie enthält alle erforderlichen Dateien.

2. Öffnen Sie Windows PowerShell als Administrator. Wechseln Sie zu dem Verzeichnis, in dem Sie die Dateien extrahiert haben, und führen Sie den folgenden Befehl aus:MSFTPXEInitToolForCS.ps1

   1. Das Skript sucht nach der Installation von Windows ADK und Windows PE Add-On auf dem PXE-Server. Wenn sie nicht installiert sind, werden sie vom Skript installiert. Um mit der Installation fortzufahren, lesen Und akzeptieren Sie die Lizenzbedingungen.

   2. Das Skript generiert die Korrekturskripts und erstellt ein gültiges Startimage.

   3. Akzeptieren Sie bei Bedarf die Eingabeaufforderung, und geben Sie einen Pfad an, der die Treiberdateien enthält. Treiberdateien sind möglicherweise für Tastatur- oder Massenspeichergeräte erforderlich. Im Allgemeinen müssen Sie keine Treiber hinzufügen. Wenn Sie keine zusätzlichen Treiberdateien benötigen, wählen Sie N aus.

   4. Sie können den PXE-Server so konfigurieren, dass ein Standardwartungsimage oder ein Image im abgesicherten Modus bereitgestellt wird. Die folgenden Eingabeaufforderungen werden angezeigt:
      1. Starten Sie mit WinPE, um das Problem zu beheben. Die Eingabe des BitLocker-Wiederherstellungsschlüssels ist erforderlich, wenn der Systemdatenträger bitLocker verschlüsselt ist.
      2. Starten sie mit WinPE, konfigurieren Sie den abgesicherten Modus, und führen Sie den Reparaturbefehl aus, nachdem Sie in den abgesicherten Modus gewechselt haben. Für diese Option ist es weniger wahrscheinlich, dass der BitLocker-Wiederherstellungsschlüssel erforderlich ist, wenn der Systemdatenträger bitLocker verschlüsselt ist.

   5. Das Skript generiert die erforderlichen Verteilungsdateien und stellt den Pfad bereit, in den das PXE-Servertool kopiert wird.

3. Überprüfen Sie die Voraussetzungen für die PXE-Wiederherstellung, insbesondere microsoft Visual C++ Redistributable.

4. Wechseln Sie in der PowerShell-Konsole als Administrator zu dem Verzeichnis, in das das PXE-Servertool kopiert wird, und führen Sie den folgenden Befehl aus, um den Listenerprozess zu starten: .\MSFTPXEToolForCS.exe

   1. Es werden keine zusätzlichen Antworten angezeigt, wenn der PXE-Server Verbindungen verarbeitet. Schließen Sie dieses Fenster nicht, da dadurch der PXE-Server beendet wird.

   2. Sie können den PXE-Serverstatus in der MSFTPXEToolForCS.log-Datei im selben Verzeichnis überwachen.

      Hinweis: Wenn Sie mehrere PXE-Server für verschiedene Subnetze ausführen möchten, kopieren Sie das Verzeichnis mit dem PXE-Servertool, und führen Sie die Schritte 3 & 4 erneut aus.

Verwenden von PXE zum Wiederherstellen eines betroffenen Geräts

Das betroffene Gerät muss sich im gleichen Subnetz wie der PXE-Server befinden. Wenn sich die Geräte in verschiedenen Subnetzen befinden, konfigurieren Sie IP-Hilfsprogramme in Ihrer Netzwerkumgebung, um die Ermittlung des PXE-Servers zu ermöglichen.

Wenn das betroffene Gerät nicht für den PXE-Start konfiguriert ist, führen Sie die folgenden Schritte aus:

1. Greifen Sie auf dem betroffenen Gerät auf das Menü BIOS\UEFI zu.

   1. Diese Aktion unterscheidet sich bei verschiedenen Modellen und Herstellern. Informationen zur spezifischen Fabrik und zum Modell des Geräts finden Sie in der Dokumentation des Originalgeräteherstellers.

   2. Häufige Optionen für den Zugriff auf BIOS\UEFI sind das Drücken einer Taste wie F2, F12, DEL oder ESC während der Startsequenz.

2. Stellen Sie sicher , dass der Netzwerkstart auf dem Gerät aktiviert ist. Weitere Anleitungen finden Sie in der Dokumentation des Geräteherstellers.

3. Konfigurieren Sie die Netzwerkstartoption als erste Startpriorität.

4. Speichern Sie die neuen Einstellungen. Starten Sie das Gerät neu, damit die Einstellungen angewendet und von PXE gestartet werden.

Wenn Sie das betroffene Gerät pxe starten, hängt das Verhalten davon ab, ob Sie Windows PE oder wiederherstellungsmedien im abgesicherten Modus für den PXE-Server ausgewählt haben.

Weitere Informationen zu diesen Optionen finden Sie in den zusätzlichen Schritten zur Verwendung der Wiederherstellungsoptionen für Windows PE oder im abgesicherten Modus.

1. Für die Windows PE-Wiederherstellungsoption wird der Benutzer aufgefordert, mit Windows PE zu starten, und das Wartungsskript wird automatisch ausgeführt.

2. Für die Wiederherstellungsoption im abgesicherten Modus wird das Gerät im abgesicherten Modus gestartet. Der Benutzer muss sich mit dem lokalen Administratorkonto anmelden und das Skript manuell ausführen.

   1. Öffnen Sie windows PowerShell im abgesicherten Modus und als lokaler Administrator angemeldet als Administrator.

   2. Führen Sie die folgenden Befehle aus:
      del %SystemRoot%\System32\drivers\CrowdStrike\C-00000291*.sys
      bcdedit /deletevalue {current} safeboot
      shutdown -r -t 00

Starten Sie das Gerät nach Abschluss des Vorgangs normal neu, indem Sie auf die Eingabeaufforderung auf dem Bildschirm antworten. Greifen Sie auf das Menü BIOS\UEFI zu, und aktualisieren Sie die Startreihenfolge, um den PXE-Start zu entfernen.